不是任何帽子任何客,只想做自己喜欢的事情,怀恋最初的激情

京东12G用户资料泄露背后:火爆的黑市数据交易

发布:小哲2016-12-28 11:57分类: 业界资讯 标签: 数据安全

京东12G用户资料泄露背后:火爆的黑市数据交易

近日,京东12G用户资料在黒市交易火爆的一篇报道引起热议,连我们的国家政府网站都跟进了报道。随后京东官方也发表了声明漏洞属实,但却是12年前出现的技术工具引起安全问题。小编我在好奇心的驱使下百度了一下“脱裤”事件,惊讶的发现:

京东12G用户资料泄露背后:火爆的黑市数据交易

京东12G用户资料泄露背后:火爆的黑市数据交易

京东12G用户资料泄露背后:火爆的黑市数据交易

京东12G用户资料泄露背后:火爆的黑市数据交易

简单来说,在中国数得着的电商没有不中招的。2012年,1号店被曝90万用户资料泄露,价格仅售500元;2014年,支付宝被曝20G用户资料泄露;同年3月,当当113位用户账户余额被盗;同月,乌云漏洞平台曝光携程网存技术漏洞,可导致用户个人姓名、身份证号码、银行类别、银行卡卡号和银行用于支付的6位Bin码等重要信息泄露;2015年,京东被曝大量用户隐私遭泄露,多名用户被骗致损数百万。

究竟什么是“拖库”?(专业人员请跳过本段)

在讲拖库之前,我们先要讲一下撞库。撞库是一个看起来很专业,但实际理解起来却很简单的名词。黑帽子黑客首先会通过收集互联网已泄露的用户+密码信息,生成对应的字典表,然后再用字典中罗列的用户和密码,尝试批量登陆其他网站,一旦用户为了省事(多数人都是这么为了省事的吧?话说小编我多年来都是这样的……但是我现在全改了!),在多个网站设置了同样的用户名和密码的话,黑帽子黑客很容易就会通过字典中已有的信息,登录到这些网站,从而获得用户的相关信息,如:手机号码、身份证号码、家庭住址,支付宝及网银信息等。这些信息泄露后,不仅会给用户和精神和经济带来巨大损失,同时也会给相关网站带来负面影响。

和撞库一样,拖库也是一个黑客术语,它指的是黑客入侵有价值的网站,把注册用户的资料数据库全部盗走的行为,因为谐音,所以也常被称作“脱裤”,比如前几天刚发生的小米用户信息大量泄露事件,就是拖裤行为的一个典型案例。

一般来说,在取得大量的用户数据之后,黑客会通过一系列的技术手段和黑色产业链,将有价值的用户数据变成现金以达到非法获利的目的。这一过程被称为“洗库”。

黑客千方百计获取用户信息的唯一目的无非是为获利。目前,黑客在获得用户信息后,一般会通过以下几种途径来迅速获利。

  • 一是售卖用户账号中的虚拟货币、游戏账号、装备等变现,也就是俗称的“盗号”;

  • 二是对于金融类账号,比如:支付宝、网银、信用卡、股票的账号和密码等,则可以用来进行金融犯罪和诈骗;

  • 三是对于一些比较特殊的用户信息,如:学生、打工者、老板等,则会通过发送广告、垃圾短信、电商营销等方式变相获利;

  • 四是会将有价值的用户信息直接出售给第三方,如网店经营者和广告投放公司等。在大数据概念的驱动下,当一个公司或个人掌握了多个渠道的数据库会进行更深一步的数据加工,在这里就可能获得非常有价值的信息。举个例子来说,在这么庞大的数据支持下,总会拼凑出一部分人的完整网络活动轨迹,那么这类人群的行为便可“理解”,“预测”了。甚至挖掘出你可能患某种病的几率来。

黑客是怎样打造信息诈骗产业链的?

在诈骗产业链上游,一群黑客专门入侵网站取得大量用户数据,专业术语叫做“拖库”。中游负责“洗库”,就是通过技术手段将有价值的用户数据归纳分析,售卖变现。诈骗集团在下游,将买来的信息利用“撞库”技术登录受害者的手机银行、网站等平台。与撞库比肩的另外两种数据获取方式,分别是攻击网站和木马程序。

黑客们利用这三种手段,打造出一条不断升级的高能产业链。而在公民个人信息交易中,大多数买卖在网络上进行,上下家只是QQ好友,并不清楚对方的真实身份。公安机关在打击这类犯罪时,却很容易引起警觉,一旦打草惊蛇,整个信息平台瞬间消失。

即使是“情节严重”的情形,也几乎没人被判到三年的最高刑。与此同时,许多侵犯了公民个人信息的被告人,仅被判处缓刑。对于什么是情节严重、什么是情节特别严重,迄今没有司法解释做出明确规定。

京东12G用户资料泄露背后:火爆的黑市数据交易

在个人信息买卖领域,数十万条批量性信源并不稀罕。2012年10月,东方航空公司客运营销委员会系统管理员王某,擅自将六百余万条“东航万里行”积分卡客户信息资料下载、存储,转交他人出售。2011年,中国移动职员苏某私自调取、出售山西全省移动手机用户资料。东窗事发后,仅苏某电脑中便存有山西省移动手机用户信息2219万余条。

什么人可以成为偷信息的“内鬼”?

2011年10月至2012年3月,乌鲁木齐市公安局沙依巴克区分局发生一系列公民个人信息泄露事件,涉及户籍、护照、宾馆记录等多个领域。经调查,事件的始作俑者为劳务派遣人员王某。他在该局指挥室网络办担任协警,握有公安机关的上网专用密钥。

“发生这种情况,很可能是利用了单位的管理漏洞,不能只把责任归结到泄密人身上。”上述公安人员解释,由于此类操作实名且留痕,监管起来并不困难。假如信息泄露持续时间较长,说明监管部门没有及时发现并阻止。

除公权力机关外,银行、通信运营商等也是公民个人信息外流的重灾区。一名金融从业人员向记者透露,有的业内人士从银行辞职时,会带走该行所有VIP客户的个人信息,以便日后营销之用。

“在金融领域,肯拿着大批客户资料自用、送人或出售的,基本都是中层人员。高层不屑于做这些。底层又把资料当宝贝捂在手里,不舍得掏给别人。”上述人士表示,在银行,基本只有风险政策领域的一小部分人可以大规模接触公民个人信息。

惩处

侵犯公民个人信息入罪始于2009年。当时的《刑法修正案(七)》(下称《修七》),在第253条中增加了出售、非法提供公民个人信息罪,以及非法获取公民个人信息罪两个罪名。2015年,《刑法修正案(九)》(下称《修九》)对此做出调整,两项罪名归并为一项,合称侵犯公民个人信息罪。

京东12G用户资料泄露背后:火爆的黑市数据交易

从《修七》到《修九》,侵犯公民个人信息犯罪多了“情节特别严重”的情形。过去,情节严重的,最高判处三年以下有期徒刑;现在,情节特别严重的,最高可以判到七年。

此外,《修九》还去掉了对犯罪主体的限制。“《修七》时,犯罪主体只能是国家机关或者金融、电信、交通、教育、医疗等单位的工作人员。到了《修九》,一般人都可能成为犯罪主体。”北师大刑科院教授袁彬告诉记者,这是对罪名适用范围的扩大。

在上海,信息数量是判定情节是否严重最重要的因素,信息用途、信息类型、营利数额、危害后果、获取手段等,也在考量范畴之内。在一篇专业论文中,上海法院系统的研究人员认为,侵害个人身份等普通信息的应以5000条作为情节严重的标准,侵害个人金融信息的为2500条,侵害个人隐私信息的为1000条。

温馨提示如有转载或引用以上内容之必要,敬请将本文链接作为出处标注,谢谢合作!

已有 0/679 人参与

欢迎分享Test404

欢迎关注本站微信公众号哦~